ISO20000管理手册新版
IT 服务管理手册
版本编号:V1.0 变更履历
IT 服务管理手册
版本编号:V1.0 目录
IT 服务管理手册
版本编号:V1.0
01 颁布令
随着公司全新领域的开拓,为满足顾客有关信息技术服务的相关要求,提高公司信息技术服务管理水平,防止由于信息技术服务的不及时等导致的公司和客户的损失。公司开展贯彻ISO/IEC 20000 《信息技术服务管理-规范》国际标准工作,建立、实施和持续改进文件化的信息技术服务管理体系,制定了****技术有限公司《IT服务管理手册》。
《IT 服务管理手册》是企业的法规性文件,是指导企业建立并实施信息技术服务管理体系的纲领和行动准则,用于贯彻企业的信息技术服务管理方针、目标,实现信息技术服务管理体系有效运行、持续改进,体现企业对社会的承诺。
《IT 服务管理手册》符合有关信息安全法律、法规要求及ISO/IEC 20000 《信息技术服务管理-规范》标准和企业实际情况,现正式批准发布,自2012年8月15日起实施。企业全体员工必须遵照执行。
全体员工必须严格按照《IT 服务管理手册》的要求,自觉遵循信息技术服管管理方针,贯彻实施本手册的各项要求,努力实现公司信息技术服务管理方针和目标。
****技术有限公司
总经理:
二○一二年八月一日
IT 服务管理手册
版本编号:V1.0
02 管理者代表授权书
为贯彻执行信息技术服务管理体系,满足ISO/IEC 20000 《信息技术服务管理-规范》标准的要求,加强领导,特任命马红岩为我公司信息技术服务管理者代表。授权代表有如下职责和权限:
1、按照ISO/IEC 20000 《信息技术服务管理-规范》的要求,组织相关资源,识别、建立、实施和保持信息技术服务管理体系,不断改进信息技术服务管理体系,确保其有效性、适宜性和符合性。
2、根据服务管理的策略和目标,给与权利和责任,以保证服务管理过程的设计,提升和改进。
3、确保服务管理流程与SMS 的其它组件进行了整合。
4、确保资产,包括许可证,根据法律法规要求和合同义务,被用于管理交付服务。
5、向公司最高管理者报告信息技术服务管理体系的业绩,如:服务方针和服务目标的业绩、客户满意度状况、各项服务活动及改进的要求和结果等。
6、组织ISO/IEC 20000 体系的管理评审,主持信息技术服务管理体系内部审核,推动内部审核活动。
7、推动公司各部门领导,积极组织全体员工,通过工作实践、教育培训、业务指导等方式不断提高员工对满足客户需求的重要性的认知程度,以及为达到公司服务管理目标所应做出的贡献。
8、负责与信息技术服务管理体系有关的协调和联络工作。
本授权书自任命日起生效执行。
****技术有限公司
总经理:
IT 服务管理手册
版本编号:V1.0
03 企业概况
****技术有限公司(简称“慧优科技”)成立于2009年,注册资金:500万人民币,公司位于杭州天堂软件园内。
慧优科技成立将专注于计算机软件的设计开发、计算机信息系统集成、信息系统咨询规划、信息技术咨询、基础设施运行维护、硬件运行维护、软件运行维护等工作。依靠领先的技术、丰富的产品线、强大的咨询实施队伍和优秀的本地化服务。
****技术有限公司是一家专业从事信息平台集成总包与咨询服务的公司,业务主要包括IT规划咨询、智能基础设施、高端系统集成、ICT融合、流程外包、应用开发、维保服务等多类信息平台整合业务,面向中国市场,为行业客户、企业级客户提供全生命周期的IT服务。作为一家科技为核心的公司,通过开放式创新、卓越运营管理、人力资源发展等战略的实施,并具有技术、合作伙伴、行业经验等多方面的优势,全面构造公司的核心竞争力,创造客户和社会的价值,从而实现并提升技术和信息的价值。
慧优致力于成为受社会、客户、员工尊敬的公司,并通过组织与过程的持续改进,领导力与员工竞争力的发展,联盟与开放式创新,使公司成为国内一流的智慧信息总包商。
技术服务体系由资深工程师、完善的技术保障系统及服务资源组成。工程师队伍包括多名Oracle 、IBM、Cisco、Symantec等国际著名厂家认证工程师组成,并已通过了UNIX、数据库、安全、统一通信、无线、存储、备份、容灾、管理优化、视音频、机房、建筑智能化、应用软件开发、咨询顾问等多项专业化认证,他们从事多年信息系统集成和服务的技术支持,具有丰富的系统支持与服务经验。
慧优公司目前为客户提供三类专业水准的IT服务,并将其确立为自有服务品牌,包含主流系统软硬件的咨询、实施、支持、迁移、维保等服务内容,将最大化实现客户IT资源的价值。
地址:杭州市西湖区西斗门路3号天堂软件园A幢6楼F室
电话:0571- 28995905/09
传真:0571- 28995911
邮编:310012
https://www.360docs.net/doc/95808341.html,
IT 服务管理手册
版本编号:V1.0
04 信息技术服务方针目标
为防止由于信息技术服务的不及时所导致的企业和客户的损失,本公司建立了信息技术服务管理体系,制订了信息技术服务方针,确定了信息技术服务目标。本公司信息技术服务管理方针包括内容如下:
服务方针:以顾客为关注焦点,热情、专业、高效
信息安全方针:信息安全,让顾客满意
信息技术服务目标:客户单位满意率≥85%
IT 服务管理手册
版本编号:V1.0
05 手册的管理
1 IT 服务管理手册的批准
管理者代表负责组织编制《IT服务管理手册》,总经理负责批准。
2 IT 服务管理手册的发放、更改、作废与销毁
a)管理中心负责按《文件控制程序》的要求,进行《IT 服务管理手册》的登记、发放、回收、更改、归档、作废与销毁工作;
b)各相关部门按照受控文件的管理要求对收到的《IT 服务管理手册》进行使用和保管;
c)管理中心按照规定发放修改后的《IT 服务管理手册》,并收回失效的文件作出标识统一处理,确保有效文件的唯一性;d)管理中心保留《IT 服务管理手册》修改内容的记录。
3 IT 服务管理手册的换版
当依据的ISO/IEC20000 标准有重大变化、组织的结构、内外部环境、生产技术、信息技术服务风险等发生重大改变及《IT 服务管理手册》发生需修改部分超过1/3 时,应对《IT 服务管理手册》进行换版。换版应在管理评审时形成决议,重新实施编、审、批工作。
4 IT 服务管理手册的控制
a)本《IT 服务管理手册》标识分受控文件和非受控文件两种:——受控文件发放范围为公司领导、各相关部门的负责人、内审员;——非受控文件指印制成单行本,作为投标书的资料或为生产、销售目的等发给受控范围以外的其他相关人员。
b)《IT 服务管理手册》有纸质文件和电子文件,电子版本文件的有效格式为PDF 文档。
本手册由管理中心提出、归口,并负责起草。
本手册主要起草人:翁爱丽
本手册审核人:马红岩
本手册批准人:王向阳
IT 服务管理手册
版本编号:V1.0
IT服务管理手册
1 范围
1.1 总则
为了建立、实施、运行、监视、评审、保持和改进文件化的信息技术服务管理体系(简称ITSMS),确定信息技术服务方针和目标,对信息技术服务及信息安全进行有效管理,确保全体员工理解并遵照执行信息技术服务管理体系文件、持续改进信息技术服务管理体系的有效性,特制定本手册。
1.2 应用
1.2.1 覆盖范围
本IT 服务管理手册规定了****技术有限公司信息技术服务管理体系要求、管理职责、内部审核、管理评审和信息技术服务管理体系改进等方面内容。适应于……等实施。以及适用于****技术有限公司的*** 事业部、**** 部等。
1.2.2 删减说明
本IT 服务管理手册采用了ISO/IEC20000:2011 标准正文的全部内容,无删减。
2 规范性引用文件
下列文件中的条款通过本《IT 服务管理手册》的引用而成为本《IT 服务管理手册》条款。凡注日期的引用文件,其随后所有的修改单或修订版均不适用于本标准,然而,管理者代表应研究是否可使用这些文件的最新版本。凡不注日期的引用文件、其最新版本适用于本IT服务管理手册。
ISO/IEC 20000-1:2011 《信息技术-服务管理体系-要求》
ISO/IEC 20000-2:2005 《信息技术-服务管理实施指南》
ISO/IEC 20000-3:2009 《信息技术-服务管理范围定义和适用性指南》
ISO/IEC 20000-5:2011 《信息技术-服务管理实施策划示例》
3 术语和定义
ISO/IEC 20000-1:2011 《信息技术-服务管理体系-要求》、ISO/IEC 20000-2:2005 《信息技术-服务管理实施指南》、ISO/IEC20000-3:2009 《信息技术-服务管理范围定义和适用性指南》规定的术语和定义适用于本《IT 服务管理手册》。
3.1 本公司
指****技术有限公司,包括****技术有限公司所属各部门。BPO 事业部的二级部门服务部简称服务部。
3.2 可用性
一个服务或服务组件能够在瞬间或在约定时间、约定期限内执行其规定的功能。注:可用性通常表示为一个时间的比例或百分比,它是客户实际使用服务及服务组件的时间,在这个时间段内服务必须可用。
3.3 配置基线
服务及服务组件生命周期在特定的时间内被指定的配置信息。注1:配置基线和这些予以变更的基线,构成了当前的配置信息。注2:改编自ISO / IEC /IEEE 24765:2010 。
CI 元素,需要加以控制,以提供一种服务或多种服务。
3.5 配置管理数据库CMDB
用于在整个生命周期中记录配置项属性和配置项之间关系的数据存储。
3.6 成效
实现计划活动的程度和计划取得的成果。[ISO 9000:2005]
3.7 事故
计划外的中断服务、服务质量下降或没有对客户服务造成影响的事件。
3.8 信息安全
保持信息的保密性、完整性和可获得性注。
1:此外,如真实性,负责性,不可抵赖性和可靠性等性能也可包括其中。
注2:术语“可用性”并没有被用在这个定义中,因为它在本部分的ISO / IEC 20000 中是个界定范围的术语,不适用于本定义。
注3:改编自ISO / IEC 27000:2009 。
3.9 信息安全事故
单个或一系列意外或突发的信息安全事件,可能对业务运营产生重大影响并威胁到信息安全。[ISO / IEC 12207:1995]
3.10 利益相关方
在服务提供者履行或完成活动时会产生具体利益的个人或团体。例如:客户、业主、管理者、服务提供者组织中的人员、供应商、银行、团队或合伙人。
注1:一个团体可以由一个组织,部分组织或一个以上的组织组成。
注2:改编自ISO 9000:2005 。
3.11 内部组
服务提供者组织的一部分,与服务提供者达成协议,参与一个服务或多个服务的设计、转化、交付和改进。
注:内部组处于服务提供者的服务管理体系的范围之外。
3.12 已知错误
已找到根本原因的问题,或围绕该问题减少或消除对服务影响的方法
3.13 问题
一个或多个事件的根本原因注:根本原因通常不是在记录问题时就知晓的,问题管理流程为进一步调查工作负责。
3.14 发布
将一个或多个新的或变更的配置项的集合部署到真实环境中,作为一个或多个变化的结果。
3.15 变更请求
建议将服务,服务组件或服务管理体系进行改变。
注:一个服务的更改,包括提供一项新服务或去除一项不再需要的服务。
3.16 风险
对目标的不确定性影响。
注1:影响是与预期的偏差,预期包括积极和/或消极两个方面。
注2:对象可能是不同方面的(如财务、健康和安全、环保目标),并可以应用在不同层面(如战略、组织范围内、项目、产品和工艺)。
注3:风险经常通过参考潜在事件和后果或者它们的组合而被识别。注4:风险往往表现在一个特殊事件(包括环境变化)和发生相关条款的可能性相结合的后果。
[ISO 31000:2009]
3.17 服务
通过帮助客户达成预期的成果来为其创造价值的方法。注1:服务一般是无形的。注2:服务
3.18 服务组件
一组服务与其它组服务合并时将提供一套完整的服务。如:硬件、软件、工具、应用程序、文件、信息、流程或支持服务。
3.19 服务连续性
在为达到商定的水平而不断提供服务的过程中,管理风险和事件的能力,这些风险和事件可能对一种或多种服务造成严重影响。
3.20 SLA 服务水平协议
服务提供者和客户之间定义服务和服务目标的文件协议注。
1:服务水平协议,也可在服务提供者和供应商之间建立,一个内部小组或客户扮演供应商的角色。
注2:服务水平协议可以包含在合同或其它类型的书面协议中。
3.21 服务管理
一套功能和流程,用以指导和控制服务提供者的活动和设计、转化、提供和其对服务资源的改善,以满足服务要求。
3.22 SMS 服务管理体系
指导和控制服务提供者的服务管理活动的管理体系注。
1:管理体系是一个相互关联或相互作用的要素,这些要素为建立方针和目标,以及实现这些目标而设立。
注2:包括所有的对SMS 服务管理策略、目标、计划、过程、文件和资源的设计、转化、提供和改善服务,以及满足本部分ISO / IEC 20000 的规定要求。
注3:改编自ISO 9000:2005 中对于“质量管理体系”的定义。
3.23 服务提供者
组织或部分组织成员,为顾客管理和提供一项服务或多项服务。注:顾客可以是来自服务提供者的内部或外部。
3.24 服务请求
请求信息、建议、服务接入或预先核准的变更。
3.25 服务要求
客户和服务使用者的需求,包括服务水平要求和服务提供者的需求。
3.26 供应商
一个组织或一个组织的一部分,不是服务提供者的内部组织,在外部与服务提供者签订合同,参与设计,转换,传输和服务或改善服务或进程的一部分。其他术语详见术语表。
4 服务管理体系的总体要求
4.1 管理责任
4.1.1 管理承诺
高层管理人员应提供证据证明其承诺的规划、建立、实施、运行、监控、审查、维护、改善SMS 和服务:
a)确定建立和交流的服务管理的范围、策略和目标。
b)确保该服务管理计划已建立、实施和维护,以符合策略的要求,实现服务管理的目标和履行服务的要求。
c)对履行服务要求的重要性进行沟通交流。
d)对履行法律法规要求和合同义务的重要性进行沟通。
e)提供策划、实施、监控、评审和改进IT服务所需要的资源,如:指定IT服务管理人员、分配资金与预算。
f)按照计划的时间间隔进行管理评审。
g)管理和控制IT 服务提供过程的风险。
h)按计划组织IT 服务管理体系的审核,以确保体系的适宜性、充分性和有效性。
4.1.2 服务管理策略
高层管理人员应确保该服务管理策略:
a) 适合服务提供者的目的。
b) 包括一个承诺来履行服务的要求。
c) 包括持续改进SMS 成效的承诺和包括通过在第4.5.5.1 节中介绍的持续改善策略的服务承诺。
d) 提供一个建立和检查服务管理目标的框架。
e) 可被服务提供者人员交流和理解。
f) 能够经的起反复的推敲。
4.1.3 权力,责任和沟通
高层管理人员应确保:
a) 服务管理的权力和职责可以得到定义和维护。
b) 文档化的沟通程序已被建立和实施。
4.1.4 管理者代表
公司任命了管理者代表,并授与了相应的权利和责任,详见管代任命书。
4.2 治理各利益相关方的操作流程
公司识别了设计和转化新的或变更的服务流程、服务交付流程、信息安全流程、关系流程、解决流程、控制流程等第5至9章的流程,服务提供者应识别由各利益相关方来运作的所有流程,或部分流程。各利益相关方可以是一个客户或供应商的内部小组。服务提供者应当由其它各方通过以下方式展示管理过程:
a) 表明问责的流程和权力要求遵守的流程。
b) 控制过程的定义和与其它流程的接口。
c) 确定流程的表现和与流程要求的合规性。
d) 控制过程改进的计划和优先次序。
当一个供应商操作部分流程时,服务提供者应当通过供应商管理程序对供应商进行管理。当一个内部小组或客户操作部分流程时,服务提供者应当通过服务水平管理流程对内部小组或客户进行管理。注:ISO/IEC TR 20000-3 提供本部分ISO / IEC 20000 的范围定义和应用指南。包括对治理各利益相关方的操作流程的进一步解释。
4.3 文件管理
4.3.1 文件的建立和维护
实施、运行、监视和评审、保持和改进文件化的信息技术服务管理体系。IT服务管理体系文件分以下几个层次:
a) 一级文件:服务管理策略和目标的文件;(如: IT服务管理手册包括方针、目标)。
b) 二级文件:文档化的服务管理流程或程序;(如:IT服务管理体系的程序文件)。
c) 三级文件:为本部分ISO / IEC 20000 要求的特殊流程所创建的文档化的策略和规划、文档化的服务目录、文档化的SLA、服务管理计划的文档,包括:管理规范、操作手册及作业指导书以及为确保有效操作SMS 和交付服务所需的并由服务提供者决定补充的外来文件。
d) 四级文件:IT服务管理体系的产出物文件模版(表单、报告模版等)。
4.3.2 文件控制
本公司编制了《文件控制程序》具体按文件控制程序要求进行控制。一个文档化的流程,包括授权和责任,控制的定义需要被建立,需要有:
a) 在发行前建立和批准文件。
b) 与各利益相关方就新文件及改动过的文件进行讨论。
c) 必要时对文件进行检查和保持。
d) 确保文件的改动和现行修订状态是经认可的。
e) 确保适用文件的有关版本在使用时可获得。
f) 确保文件易于识别且清晰。
g) 确保外来文件得以识别且其发行量受到控制。
h) 若保留作废文件,需防止作废文件被随意使用并对上述文件做好适当的标识。
4.3.3 记录控制
本公司编制了《记录控制程序》具体按记录控制程序要求进行控制。记录应保存,并用来证实SMS 符合要求和有效运作。一个文件的流程需要建立对控制的定义,包括标识、贮存、保护、检索、保存和记录的处置的方式。记录应清晰,易于识别和检索。
4.4 资源管理
4.4.1 资源供给
公司最高管理者应确定并提供人力资源,技术资源,信息资源和财务资源,并:
a) 设立,实施和维护SMS和服务,不断提高其效力。
b) 通过提供满足服务要求的服务,来提升客户满意度。
4.4.2 人力资源
本公司IT服务管理委员会须对所有参与IT服务管理的岗位和岗位责任做明确定义。以确保服务工作人员的工作应符合服务要求,这些人员应在接受相应的教育和培训后,具备相应的技能和经验等基本能力。服务人员应当:
a) 选择有资质的人员。
b) 适当通过提供培训或采取其它措施以获得必要的能力资格。
c) 对采取措施的有效性进行评价。
d) 确保其工作人员都知道如何尽力达成服务管理目标并满足服务要求。
e) 坚持对教育、培训、技能和经验做适当的记录。
IT服务管理委员会同时须通过培训或其他的宣讲等方式来确保员工理解他们的业务活动的重要性以及相关性,并知晓如何达成IT服务管理的目标。
4.5 建立和改进SMS
4.5.1 定义范围
本管理手册明确了整个体系覆盖的范围,详见第一章范围及定义描述。范围包括为达到IT服务管理目标所需的资源(人员、设备和资金等)和所提供的IT服务。
a) 人员:包括人员的招聘、培训、资质认证、团队建设等。
c) 资金:包括IT服务管理过程中相关IT服务预算与核算活动等。
d) IT 服务:包括IT服务目标的设定、IT服务计划的编制、IT服务的新增和改进等。
同时本公司的服务提供也应考虑影响服务交付的其它因素,其中包括。
a) 本公司提供服务的地理位置。
b) 客户及其位置。
c) 用于提供服务的技术。
4.5.2 计划SMS(P)
本公司IT 服务管理团队须遵循Plan-Do-Check-Act 模式策划,实施、检查和改进IT 服务管理体系,详见图1 所示的PDCA 模型。
图1 信息技术服务管理体系模型
同时应当建立、实施和维护服务管理计划。计划应考虑到服务管理策略,服务需求和在ISO / IEC 20000中本部分的要求。服务管理计划应包含或引用至少以下内容:
a) 由本公司来实现的服务管理目标。
b) 服务要求。
c) 影响SMS 的已知限制。
d) 策略,标准和法律法规要求和合同义务。
e) 权力架构,职责和过程角色。
f) 权力和责任的计划,服务管理流程和服务。
g) 人力资源、技术资源、信息资源和财务资源来实现服务管理目标。
h) 在与其它各方合作时采取的步骤,包括设计和转化新的或变更的服务流程。
i) 对服务管理流程和SMS 的其它组成部分进行整合时接口的步骤。
j) 风险管理和接受风险的准则的步骤。
k) 用于支持SMS 的技术。
l) SMS 和服务的成效需要被度量、报告和改进。
4.5.2.1 策划服务管理
a) IT 服务管理目标:
1) 建立符合ISO20000 国际标准的IT 服务管理体系,有效整合和利用人员、设备和资金等IT 资源。
2) 建立符合ISO20000 国际标准的服务质量管控(QA)体系,提升IT服务品质,提升对IT 用户的支技能力。
转并辅以质量检查,持续改进IT服务和IT 服务管理水平。
b) IT 服务管理的范围:
IT 服务管理的范围包括为达到IT 服务管理目标所需的资源(人员、设备和资金等)和所提供的IT 服务。
1) 人员:包括人员的招聘、培训、资质认证、团队建设等。
2) 设备:包括与IT 服务管理相关的软、硬件等。
3) 资金:包括IT 服务管理过程中相关IT 服务预算与核算活动等。
4) IT 服务:包括IT 服务目标的设定、IT 服务计划的编制、IT 服务的新增和改进等。
c) IT 服务年度计划及服务管理计划:
1)每年年初,体系负责人召集IT 服务管理团队所有成员共同编制公司《年度IT 服务计划》。
2)《年度IT 服务计划》的制定须参考本公司战略策划、年度计划以及上年度IT 服务改进计划等信息。
3)为实现公司年度IT 服务计划,根据服务目录,制定《服务管理计划》须汇总金融服务外包(BPO)、柜员循环存取款系统(TCR)等服务年度服务计划信息,计划内容须包括:IT 服务的范围与目的,IT 服务人员、设施、预算等资源需求,IT 服务管理组织和IT 服务的风险管控、IT 服务的质量管理等内容;特定流程的计划应与服务管理计划相一致。该服务管理计划和特定流程的计划,应按照计划的时间间隔进行审核,如果适用,进行更新。
d) IT服务管理组织及其职责。
本公司IT 服务管理团队由体系负责人、IT 服务管理委员会、内审组以及各过程与人员组成。具体角色职责及定义参见《IT 服务管理角色与职责说明》。
本公司IT 服务管理体系定义和实施的过程包括:
1)服务提供过程:
a) IT 服务级别管理。
b) IT 连续性和可用性管理。
c) IT 容量管理。
d) IT 安全管理。
e) IT 预算和核算管理。
2)控制、发布过程:
a)IT 配置管理;b)IT 变更与发布管理。
3)解决过程:
a)IT 事件管理;。
b)IT 问题管理。
4)关系过程:
a)IT 业务关系管理。
b)IT 供应商管理。在每个过程的过程描述文档中,将对过程的范围、目标、角色职责、活动交互、绩效指标及评价方法进详细的定义。
各过程之间的接口。
过程之间的接口定义和通过接口的信息传递将在过程定义文档中进行详细的描述,在此对IT 服务管理各过程之间的接口简要描述详见(各过程描述图)。本公司IT 服务管理体系以IT 服务级别管理过程为核心,以IT 配置管理为基础,将IT 服务管理体系中的各过程串联起来。IT 服务级别管理过程为多个过程提供输入,各过程也将服务级别协议(SLA )要求的执行情况估为输出返回到IT 服务级别管理过程。
IT 配置管理过程为IT 服务支持过程及部分IT 服务交付过程提供所有需要的配置项及其属性信息,并接受来自IT 变更发布管理对配置信息的修改。
本公司将根据服务管理计划,通过设计、转化、交付和提高来实施和运行SMS,包括但不限于以下行为:
a) IT服务的首先须建立起专业的IT服务管理团队,将服务角色和职责进行合理分配,通过内部任命或招聘的方式确保人员到位。
b) 为服务实施准备资金并做好预算分配,须有效管理预算的执行,以确保服务体系能够按步骤的、持续的完成实施。
c) 按照各个过程策划的方针、计划、程序和定义实施服务管理和提供服务管理体系;
d) 对IT服务管理团队进行有效管理,设定相关KPI 指标确保过程运行质量,识别并控制IT服务风险。
e) 根据IT服务报告管理过程要求,定期出具IT服务管理体系运行相关报告以对服务管理行为的表现进行监控和汇报。
4.5.4 监控审查SMS(C)
4.5.4.1 概述
本公司建立了内部审核及管理评审控制程序等以及SMS 的有效性和服务效果进行监督和度量。以证实SMS 和各项服务的能力可以实现服务管理目标并达到服务的要求。同时已识别不符合本部分的ISO / IEC 20000 的要求,包括服务提供者或服务要求确定SMS 的要求。
同时应对内部审核和管理评审的结果予以记录,其中包括不符合项,关注以及确定的行动。应将结果和行动通知各利益相关方。
4.5.4.2 内部审计
本公司编制有《内部审核控制程序》明确了审核计划、实施审核,报告结果和保存审计档案的权力和责任,同时公司在计划的时间间隔内进行内部审计,以确保SMS 和服务是否:
a) 履行本ISO / IEC 20000 的规定。
b) 符合服务要求和服务提供者确定的SMS 要求。
c) 得到有效地实施和维护。在编制审计方案时应考虑过程和被审计领域的地位和重要性,以及以往审核的结果。应对审计准则,范围,频率和方法进行记录。审计师的选择和审核的实施应确保其客观性和公正性。审核人员不应审核自己的工作。应对不符合项进行通报,并进行排序和责任分配并采取行动。被审计的该部分负责人须确保任何纠正和纠正措施,不得无故迟延,及时消除不合格项及其成因。后续活动应包括对所采取措施的行为验证和结果报告。本公司IT 服务管理团队须采取方法对IT 服务管理体系的过程加以监控及测量,包括例行检查(管理评审:偏重于查变化---外部变化:法律法规/客户,内部变化:人员变化/组织机构变化(对公司的冲击)、内部审核---偏重于查风险)和日常检查(偏重于查符合/不符合,即合策划检查定期回顾,关注绩效、成果、问题和纠正计划),以确保体系的运行与设计相符,并根据检查结果采取纠正与预防措施,确保各过程目标的达成。
4.5.4.3 管理评审
本公司编制有《管理评审控制程序》对评审策划及实施作了描述。最高管理者应在计划的时间间隔内对SMS和各项服务进复核,以确保其持续的适宜性和有效性。复核需要包括对SMS 开展的必要更改的重要性进行评估,包括服务管理的策略和目标。对管理评审的输入应包括但不限于以下信息:
a) 顾客的反馈。
b) 服务和过程的性能和一致性。
c) 现有的和预计的人员、技术、信息和财务资源的水平。
d) 当前和预计的人员和技术能力。
e) 风险。
f) 审计的结果和后续行动。
g) 前期管理复核中得出的结果和后续行动。
i) 可能影响SMS 和各项服务的变化。
j) 改进机会。
管理评审的记录应予以保留。管理评审的记录应至少包括决策和对有关资源的行动,提高SMS 的效益和改善服务。
4.5.5 持续改进SMS(A)
4.5.5.1 概述
本公司将形成一个对SMS 和各项服务持续改进的策略。该策略应包括改善机会的评价标准。同时本公司已建立《纠正和预防措施控制程序》包括对改进的鉴定、记录、评估、审批、优先级管理、测量和报告的权力和责任。改善机会包括纠正和预防措施,应记录在案。应对已确定的不符合的原因予以纠正。应采取纠正措施以查明并消除不符合的原因,以防止再次发生。应当采取预防措施,以消除潜在不合格的原因,以防止发生。
a)日常检查:在例行的本公司IT内审和IT管理评审之外,本公司IT服务管理团队还须按需开展日常检查来确保IT服务管理体系的持续改进。
b)相关(事件、问题、变更、信息安全、业务关系、连续性、可用性和能力管理)过程需定期(每月/季一次)对本过程运行效果进行总结研讨,针对发现的问题,须提出改进措施并执行。
c)各过程负责人需须定期(每年一次)对本过程执行效果进行总结研讨,必要时对过程文件进行修订、评审和发布。
4.5.5.2 管理改进
改进的机会应被优先考虑。本公司在对持续改进策略的改进机会做决定时,应使用评价标准。对批准的改进内容加以规划。同时应当管理改进的活动,包括但不限于:
a)设置改进目标,包括质量、价值、能力、成本、生产力、资源利用率、风险降低等方面。
b)确保对批准的改进得以实施。
c)在需要时修改服务管理策略、计划、过程和流程。
d)对照设定的目标检查改进完成的情况,对没有实现的目标,采取必要的行动。
e)对改进实施情况予以报告。
f) 本公司IT服务管理团队根据IT服务管理体系检查阶段的结果,采取改进措施不断改善IT服务管理和服务交付,逐步提高IT服务管理和服务交付的效果和效率,内容包括:
1) 根据IT 内审不合格项进行根源分析并加以改进,并根据IT 内审结果决定是否需要对部分服务进行调整。
2) 基于IT 管理评审报告,从满足业务和客户需求出发,进行IT 服务管理调整、改进或升级。
3) 根据体系检查结果进行IT 服务管理过程的优化和改进,包括过程策略的变更、过程接口的变更和角色职责的变更等,如修订IT 服务管理策略、过程、程序和计划等;
4) 通过IT 服务管理委员会会议、定期用户满意度调查和定期客户回访等取得服务相关信息,并对于未能满足服务要求的服务进行改善,并记入《服务改善计划》中。
5设计和转化新的或变更的服务
5.1 概述
5.1.1 本公司形成的相应程序将应用于所有新的有可能变更的服务,这对服务和客户将产生重大影响。变更由变更管理策略控制,对于新的或变更的服务的评估、审批、调度和审查范围的变更应当由变更管理流程控制。新的或变更的服务范围的配置项影响应由配置管理流程控制。
5.1.2 公司IT 服务管理委员会应当审查新的或变更合同约定的服务要求以及新的或变更的服务计划,设计和开发新的或变更的服务过程中有关规定给予的规划和设计活动的输出。在
可以进行有效的转化,采用公认的输出。注:一个新的服务需求或向服务转变可以来自客户,服务提供者,一个内部组或一个内部供应商,以满足业务需要或改善服务的成效。
5.1.3 营销部门负责与客户沟通,服务部配合,收集客户对现有SLA 的满意度水平。分析、整理客户新的或变更服务的要求,及时反馈客户的改进需求。
5.1.4 当出现新服务或变更服务时,研发部根据《新的或变更的服务设计管理程序》的要求,组织实施服务管理和提供服务策划和实施工作。
5.1.5 研发部组织对新服务或变更服务策划结果的验证、确认,验证通过后按《新的或变更的服务设计管理程序》实施。
5.1.6 研发部应报告新服务或变更服务按计划实施所达到的结果,研发部按《发布和部署管理程序》,执行实施发布评审,比较实际结果与期望结果的一致性。
5.2 新的或变更的服务计划
5.2.1 公司研发部应确定新的或变更的服务的要求。新的或变更的服务应当被规划以符合服务要求。新的或变更的服务的规划应由客户和利益相关方认可。
5.2.2 作为计划的输入,研发部应当考虑到提供新的或变更的服务潜在的财务、组织和技术上的影响。研发部也应考虑到新的或变更的服务对SMS 的潜在影响。
5.2.3 新的或变更的服务的计划应包含或引用包括但不限于以下内容:
a) 设计、开发和转化活动的权力和责任。
b) 活动应当由以下各方履行:服务提供者和包括与服务接口的其它各方。
c) 与各利益相关方沟通。
d) 人员、技术、信息和财务资源。
e) 计划活动的时间表。
f) 对风险的确定,评估和管理。
g) 依赖的其它服务。
h) 新的或变更的服务的测试要求。
i) 服务验收标准。
j) 用可衡量的术语表示提供新的或变更的服务的预期输出。
5.2.4 对于要被删除的服务,研发部应做出服务删除计划。计划应包括删除、归档、处理数据,文件和服务组件的转移的日期。服务组件可以包括基础设施和与应用程序相关的许可证。
5.2.5 研发部应当对那些致力于新的或变更的服务组件条款的各方加以识别鉴定。应当评估其能力以满足服务需求。评价的结果应当予以记录并采取必要的行动。
5.3 设计和开发新的或变更的服务
5.3.1 研发部负责对新的或变更的服务进行设计和文档化时应至少包含以下内容:
a) 交付新的或变更的服务时的权力和责任。
b) 提供新的或变更的服务时服务提供者、客户和其他各方需执行的活动。
c) 新的或变更的人力资源需求,包括对适当的教育、培训、技能和经验的要求。
d) 交付新的或变更的服务时的财政资源需求。
e) 新的或变更的技术来支持提供新的或变更的服务。
f) 新的或改变的计划和策略,要求符合本部分的ISO / IEC 20000。
g) 新的或变更合同和其它文件的变化协议,以配合服务变更要求。
h) 对SMS 的变更。
i) 新的或变更的服务水平协议。
j) 对服务目录进行更新。
k) 在交付新的或变更的服务过程中使用的程序、措施和信息。
5.3.2 研发部应当确保设计使新的或变更的服务满足服务要求。
5.3.3 新的或更改服务,应当按照文件化的设计制定。
5.4.1 研发部应当组织对新的或变更的服务进行测试,以验证它们是否符合服务要求和设计文件。新的或更改的服务应由营销部和有关方面事先约定验收标准。如果服务不符合验收标准,研发部和有关各方应当做出必要的决定和部署的行动。
5.4.2 发布和部署管理过程应用于部署已批准的新的或变更的服务到真实环境。
5.4.3 随着转化活动的完成,服务提供者应当及时向有关方面报告关于对预期成果取得的成效。
6 服务交付过程
6.1 服务水平管理
6.1.1 服务部负责与相关部门沟通,制订公司的《服务目录》。服务目录应定义所有服务,并包含服务名称、服务目标或标准、联系接口、服务提供时间和例外、安全方面的考虑和安排。
6.1.2 《服务目录》是公司所提供的服务内容的汇总,公司与客户签署SLA 时应参考《服务目录》。
6.1.3 公司应该根据当前的服务能力对《服务目录》进行更新与维护。
6.1.4 根据公司的战略策划、资源要求及客户需求,服务部在与营销中心和其他相关部门沟通、确定SLA 时,应考虑:可接受持续损失服务的最大周期、可接受降级服务的最大周期,服务恢复时,可接受降级服务级别。
6.1.5 营销部代表客户,与服务部签订《服务级别协议》应明确:服务要求和期望服务工作量特征的协议、服务目标协议、服务级别实现、工作量的测量和报告,以及服务目标不能完成的分析与说明。
6.1.6 服务部应依据与客户签订的SLA 以及《供应商管理程序》的要求,组织签署与供应商之间的支持合同(或协议),并应由相关方定期评审。
6.1.7 当出现重要业务变更时,营销部应及时与研发部部沟通,按原过程重新组织相关部门,调整、修订《服务级别协议》,并作为服务改进计划的输入。
6.2 服务报告
6.2.1 服务部应就向客户提交的服务报告的内容、报告周期与客户协商并达成一致。
6.2.2 服务部拟制内部服务报告,对计划间隔内的客户服务状况、问题趋势、服务数据、SLA 目标实现等进行汇总、统计和分析,组织召开月度服务质量分析会议,形成会议纪要后发放。
6.2.2.1 服务报告主要包括的内容:执行服务级别目标的绩效,违反SLA、安全管理要求等的不符合项和结论、工作量特征,如能力、资源利用、报告主要事件、变更、定期趋势信息、客户满意度分析。
6.2.2.2 服务报告应及时、清晰、可靠和简明,便于分析、决策和有效沟通。
6.2.3 当出现有关IT 服务系统配置项的变更时,服务部应按《变更管理程序》的要求执行。
6.3 服务连续性和可用性管理
6.3.1 服务连续性和可用性需求
6.3.1.1 服务部应当评估和记录服务的连续性和服务可用性的风险。并确定并与客户和有关各方就服务的连续性和可用性要求达成一致。同时应对业务计划的适用性、服务要求、SLA 和风险予以考虑。与客户纸定的服务连续性和可用性要求致少包括:
a) 获得服务的权利。
b) 服务响应时间。
c) 点对点服务的可用性。
6.3.1.2 服务部应按照《服务连续性和可用性管理程序》的要求,拟制服务《连续性和可用性计划》,根据客户业务优先级、服务级别协议和评估的风险,按设计的工作量计划维护有效的服务能力,并与《服务级别协议》的目标保持一致。应考虑:
a) IT 服务连续性和可用性计划考虑可用性的要求和目标以及对服务和系统组成的关系。
ISO20000体系文件_服务级别管理程序文件
服务级别管理程序(#CP-0010) 目的 本过程描述公司采用的过程方法以有效地管理服务级别管理过程。该文件表明公司IT部门符合IS0 20000中对服务级别管理过程(IS0 20000-1:2005 6.1)的要求。 围 IT服务管理体系中的服务级别管理覆盖Internet服务、管理网络服务、管理安全服务和数据中心服务。 1.服务级别管理过程 1.1服务级别管理策划(计划) 开发服务级别管理并以ITSM计划为目标。 1.2定义服务级别管理(执行) SLM建立框架使IT部门通过计划、实施和进行服务交付管理关注客户。服务级别管理管理和协调服务级别,包括: 服务要求、服务目标和期望的协议 测量和报告达到的服务级别 调查纠正措施和正在进行的服务改进项目 1.3 SLM的控制和评审(检查)
为符合IS0 20000-1:2005, IT部门引入框架检查服务级别管理过程的结果。IT部门有责任每月评审可用性级别并提交关键绩效报告。 1.4 SLM反应行动(改进) IT部门应按月评审不同服务的服务级别并指定员工评估和监控服务级别。如果没有达到服务级别,IT部门应采取改进措施确定问题。 2.服务级别管理程序 2.1服务目录 服务目录定义IT部门提供的所有服务。(略) 2.2服务级别协议 服务级别协议是IT部门需要达到的正式文件。 2.2.1有效期 有效期在相关SLA文件中明确。在有效期,SLA有效,直到新的协议签定为止。 2.2.2授权 2.2.3 沟通 2.2.4联系 2.2.5服务时间
所有服务需要7*24小时的服务。这在服务目录中有描述。 2.2.6计划和协定的中断 2.2.7客户职责 2.2.8冲击和分级指南 2.2.9升级和告知过程 2.2.10投诉程序 2.2.11服务目标 2.2.12工作负载限制 下述工作负载限制由lT部门提供并被客户接受。 2.2.14财务管理 2.2.15务工作程序 2.2.16例外 2.2.17可用性初始评审报告 可用性初始评审报告必须附在相应的SLA后面作为记录。
ISO27001信息安全管理体系及ISO20000IT服务管理体系
ISO27001信息安全管理体系及ISO 20000 IT服 务管理体系 ISO27001介绍 ISO27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日发布为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。对现代企业来说,将以往被认为是成本中心的IT部门转变成积极的增值服务提供者,是一种挑战,也是机遇,而推动这一机遇成为现实的. ISO20000介绍 ISO 20000是面向机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT 服务管理体系(ITSM)已成为各种组织,特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。ISO 20000让IT管理者有一个参考框架用来管理IT服务,完善的IT管理水平也能通过认证的方式表现出来。 有效融合ISO27001、ISO20000等IT控制和最佳实践,进行必要的体系整合,从而全面提升客户整体IT治理的水平。 获取认证应具备的条件 应具备相应的资质,(如营业执照、组织机构代码、相关的国家行政审批资质或行业资质),具备相关设施和资源,能正常开展经营活动。能提供三个月以上的经营活动记录。 取得认证的程序 通常把取得认证的程序分为两个阶段, 认证咨询阶段:合同签订后,我公司会派出咨询老师到企业进行调研,确定企业的认证意图,帮助企业确定组织机构和职责权限划分,体系的覆盖范围,编制和完善认证所需要的体系文件,对企业人员相关进行的培训,并指导企业按体系文件的要求运行,并帮企业进行认证的申请。认证审核阶段:由认证机构派出的审核员,到企业按照认证标准及企业体系文件规定对企业申请认证范围的活动的进行检查,重点是核实企业的情况及编制认证文件和记录,检查结束上报认证机构颁发证书。 取得认证的效益 ISO27001 1、通过定义、评估和控制风险,确保经营的持续性和能力 2、减少由于合同违规行为以及直接触犯法律法规要求所造成的责任 3、通过遵守国际标准提高企业竞争能力,提升企业形象 4、明确定义所有组织的内部和外部的信息接口目标:谨防数据的误用和丢失
ISO20000体系简介
ISO20000 ITSM体系简介 1什么是ISO20000 1.1 ISO/IEC20000是第一个关于IT服务管理体系的要求的国际标准,它秉 承“以客户为导向,以流程为中心”的理念, 并强调按照PDCA(戴明质量环)的方法论持续改进组织所提供的IT 服务。 1.2 ISO/IEC20000帮助识别和管理IT服务的关键过程,可以实现服务运营 的输入(Inputs)和生产流程(Process)的标准化,从而最终保证以最低的成本提供质量稳定(Consistent Quality)的IT服务,并保证业务的连续性。 保证提供有效的IT服务满足客户和业务的需求。 1.3 IT服务三要素包括信息系统、支持,以及质量规范。IT服务以信息系 统(IS, Information system)为依托,通过信息系统使信息从人、流程、技术三个维度得到控制和支持,从而满足对于IT服务的质量要求。 1.4 ISO20000共分为两部分 ISO/IEC20000-1 Information technology-Service management Part-1:Specification(信息技术服务管理标准规范,认证要求) ISO/IEC20000-1 Information technology-Service management Part-2:Code of practice(信息技术服务管理最佳实践) 2ISO20000产生原因和重要意义 2.1 遵循相关的服务管理标准(如ISO20000)可以实现服务运营的输入 (Inputs)和生产流程(Process)的标准化。只有将过程标准化了,才能保证最终的服务质量和成本符合预定的标准,才能实现过程控制,从而达到质量控制的目标。目前,全球的IT服务业正逐渐走向专业化和外包化,如何控制这个IT服务的整体风险(无论是内部还是外部),提高IT的整体服务水平是一个需要高度重视的问题,而ISO/IEC20000就是解决该问题的一个很好的指
ISO20000体系文件清单
ISO20000体系文件清单 (包括部门级三级文件) 一层文件 1 SA-01001 信息技术服务管理手册 二层文件 2 SA-02001 ISO20000标准符合性声明 3 SA-02002 文件控制管理规定 4 SA-02003 记录控制管理规定 5 SA-02004 内部审核管理规定 6 SA-02005 管理评审规定 7 SA-02006 纠正预防控制管理规定 8 SA-02007 法律法规符合性管理规定 9 SA-02008 体系有效性度量管理规定 10 SD-02001 服务级别流程管理办法 11 SD-02002 服务报告流程管理办法 12 SD-02003 供应商流程管理办法 13 SD-02004 业务关系流程管理办法
14 SD-02005 IT服务预算及财务管理办法 15 SD-02006 新服务及变更服务管理办法 16 SM-02001 可用性流程管理办法 17 SM-02002 IT服务连续性流程管理办法 18 SM-02003 事件流程管理办法 19 SM-02004 问题流程管理办法 20 SM-02005 变更流程管理办法 21 SM-02006 发布流程管理办法 22 SM-02007 配置流程管理办法 23 SM-02008 容量流程管理办法 24 SO-02001 信息技术服务管理组织建设管理规定三层文件 25 SA-03001 信息技术服务管理体系术语定义 26 SA-03002 体系文件编写规范 27 SA-03003 体系文件清单管理细则 28 SD-03001 信息技术服务目录 29 SD-03002 客户服务业务处理流程图
2019年ISO20000管理体系文件服务级别流程管理办法
信息技术服务管理体系 服务级别流程管理办法 文件编号:SD-02001 [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属公司所有,受到有关产权及版权法保护。任何个人、机构未经公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 2.文件版本信息 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于时,表示该版本文件为草案,仅可作为参照资料之目的。
目录 1.概述......................................................................................... 错误!未定义书签。 .目标.............................................................................. 错误!未定义书签。 .范围.............................................................................. 错误!未定义书签。 流程适用范围.................................................... 错误!未定义书签。 流程管理范围.................................................... 错误!未定义书签。 2.角色和职责............................................................................. 错误!未定义书签。 .服务级别管理流程负责人.......................................... 错误!未定义书签。 .服务级别经理.............................................................. 错误!未定义书签。 .协议维护人.................................................................. 错误!未定义书签。 3.输入......................................................................................... 错误!未定义书签。 4.输出......................................................................................... 错误!未定义书签。 5.流程描述................................................................................. 错误!未定义书签。 .服务级别管理流程...................................................... 错误!未定义书签。 .回顾会议召开计划...................................................... 错误!未定义书签。 6.表单和模板............................................................................. 错误!未定义书签。 7.关键绩效指标(KPI) .......................................................... 错误!未定义书签。 8.流程质量控制......................................................................... 错误!未定义书签。 9.与其它流程的接口................................................................. 错误!未定义书签。 10.术语定义............................................................................. 错误!未定义书签。 11.附则..................................................................................... 错误!未定义书签。
ISOIEC 20000-1_2011《信息技术 Part1 服务管理体系 要求》中英文对照
信息技术----服务管理--- Part1: 服务管理体系要求 ISO/IEC 200000-1 Second edition 2011-04-15 INTERNATIONAL STANDARD Reference number ISO/IEC 200000-1:2011(E)
前言Foreword (6) 介绍Introduction (8) 1范围Scope (11) 1.1总则General (11) 1.2应用Application (11) 2引用标准Normative references (13) 3术语和定义Terms and definitions (13) 4服务管理体系总要求Service management system general requirements (18) 4.1管理职责Management responsibility (18) 4.1.1管理承诺Management commitment (18) 4.1.2服务管理政策Service management policy (18) 4.1.3权利、职责和沟通Authority, responsibility and communication (18) 4.1.4管理者代表Management representative (18) 4.2对其他相关方所运营过程的管控Governance of processes operated by other parties (18) 4.3文件管理Documentation management (19) 4.3.1建立和维护文件Establish and maintain documents (19) 4.3.2文件的控制Control of documents (19) 4.3.3记录的控制Control of records (20) 4.4资源管理Resource management (20) 4.4.1资源的提供Provision of resources (20) 4.4.2人力资源Human resources (20) 4.5建立和改进SMS Establish and improve the SMS (20)
信息安全管理体系(ISO27001ISO20000)所需条件和资料
ISO27001产品概述; ISO/IEC27001 信息安全管理体系(ISMS——information security management system)是信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,最终再2005年被国际标准化组织(ISO)转化为正式的国际标准,目前国际采用进一步更新的 ISO/IEC27001:2013作为企业建立信息安全管理的最新要求。该标准可用于组织的信息安全管理建设和实施,通过管理体系保障组织全方面的信息安全,采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的信息安全管理。 Plan规划:信息安全现状调研与诊断、定义ISMS的范围和方针、定义风险评估的系统性方针、资产识别与风险评估方法、评价风险处置的方法、明确控制目标并采取控制措施、输出合理的适用性声明(SOA); DO:实施控制的管理程序、实施所选择的控制措施、管理运行、资源提供、人员意识和能力培训; Check:执行监视和测量管理程序、实施检查措施并定期评价其有效性、评估残余风险和可接受风险的等级、ISMS内部审核、ISMS管理评审、记录并报告所有活动和事态事件;Act:测量ISMS业绩、收集相关的改进建议并处置、采取适当的纠正和预防措施、保持并改进ISMS确保持续运行。 条件: 1) 企业需持有工商行政管理部门颁发的《企业法人营业执照》、《生产许可证》、《组织机构代码证》、《税务登记证》等有效资质文件; 2) 申请方应按照国际有效标准(ISO/IEC27001:2013)的要求在组织内建立信息安全管理体系,并实施运行至少3个月以上; 3) 至少完成一次内部审核,并进行了有效的管理评审; 4) 提供企业业务相关的必备资质:如系统集成资质、安防资质等,并且保证资质的有效性和合法性。 材料 1) 法律地位证明文件(如企业法人营业执照、事业单位法人代码证书、社团法人登记证等),组织机构代码证复印件加盖公章。存在时,应提交分支机构的营业执照和组织机构代码证复印件加盖公章; 2) 临时场所清单(如工程建设施工组织在建项目清单、信息安全管理体系及信息技术服务管理体系的临时服务点); 3) 至少应提供以下文件信息:方针、目标、范围、组织为过程运行及沟通而保持的信息,必须提供:组织简介、组织结构(组织机构图)、人员情况和职能分工、过程路线图/工艺流程图/过程描述(应明确说明关键过程和特殊过程)及其有关的过程文件,如:风险控制情况、对IT的应用等; 4) 关于认证活动的限制条件(如出于安全和/或保密等原因,存在时); 5) 信息安全管理体系方针和目标; 6) 支持信息安全管理体系的规程和控制措施;
iso20000管理体系标准
ISO 20000,即"信息技术服务管理体系标准",是面向组织机构的IT服务管理标准,目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSMS)的模型。 自ISO/IEC 20000-1:2011上次审查和修订该标准至今已有8年。新版标准已于2018年9月15日发布,转换期为标准发布后的3年。 转换期截止后,依据ISO/IEC 20000-1:2011版标准的认证证书将作废或撤销,这也就意味着已获证企业需要在2021年9月15日之前完成转版审核。 v为什么需要通过ISO20000认证? 在当今全球信息化快速发展下,IT业界也由当初的以技术为主导的粗放型规模扩张阶段,转向如今的依靠科学管理实现效率提升和风险、成本控制的精细化管理阶段。伴随着企业IT 规模的扩大和IT 成熟度的提高,各类企业的成本管理、效率管理意识普遍增强。这时,向IT 管理要效益,要求更高的IT 服务水平,更强的运营管理能力迫在眉睫。对IT 内部运营组织来说,IT 部门在企业的生产、管理环节发挥着重要作用。例如在银行、电信、政府、物流仓储,以及
其他生产型企业当中,IT 运营管理成为核心业务运作依托的根本手段,也成为企业成本控制和效率提升的关键部分。在这种情形下,提升组织内部的IT 服务水平和建立基于流程的高效率运作机制,可以为企业业务部门提供性价比更高的IT 服务支持,从而确保业务的高效运转,缩减运营成本、提高业务盈利能力。 ISO20000可以帮助企业实现: 1. 建立IT保障部门一整套行之有效的持续改善机制和内控机制; 2. 就服务品质和服务承诺与客户及供应商达成一致,建立和客户及供应商统一的沟通平台,达到相关利益方均满意的IT服务管理目标; 3. 提高IT服务的可用性,可靠性和安全性,为业务用户提供高品质的服务; 4. 持续优化服务流程,提升服务水准,提高业务满意度; 5. 从总体上提高企业IT投资报酬率,提升企业的综合市场服务能力。 企业如需进行认证,可咨询中鉴联合信用评级有限公司。 【中鉴联合信用评级有限公司】业务范围包括:AAA企业信用等级证书3a、ISO9001质量管理体系认证、ISO14001环境管理体系认证、ISO45001职业安全管理体系认证,能源管理体系认证、诚信管理体系认证、售后服务体系认证、ISO/TS16949认证等认证咨询服务,ISO 20000信息技术服务管理体系认证中鉴公司成立15年来,服务于上千家企业涉及行业有房地产、建筑施工、生产
ISO20000管理体系要求
ISO20000管理体系要求 ISO 20000-1:2005 IT服务管理(ITSM)规范是关于IT服务的标准,提出了用户实施IT管理的基本基线,对用户如何解决客户化和专业化问题提出了明确的要求。 ISO 20000-1:2005主要表现为前端客户需求管理和后端流程管理。 在前端,ITSM要解决如何明确客户需求,明确了解客户的业务需求和对IT服务的需求,核心就是对IT服务的级别的明确和管理。在签订了服务等级协议 后,ITSM要解决一个增值化角度。 ITSM的后端思路,就是通过流程化、规范化和最佳实践,来处理IT的事件处理、变更管理、配置管理、发布管理、确保性能和客户服务,用流程方法来跟踪完成,保证效率和服务水平。 把前端和后端两点贯穿起来,这个流程就是如何客户化和专业化的过程。 ITSM目标是提供管理体系(也叫质量管理体系),包括方针和框架,以有效管理和实施所有的IT服务。 ISO 20000-1:2005该条款包括(按照流程编号标明)1管理职责 2文件要求 3能力、意识和培训 4服务管理的策划与实施 对服务管理的实施和交付进行策划和实施,整合了ISO管理体系标准基于流程导向的方法(PDCA)。 4.1 服务管理的策划(规划Plan) 4.2 实施服务管理并提供服务(执行Do) 4.3 监视、测量和评审(检查Check)
4.4 持续改进(行动Act)。 5新服务或变更服务的策划与实施 采用项目管理的方法进行新项目和变更项目的规划和实施。 6ISO20000管理流程 ISO20000-2:2005标准包括了5大过程及13个管理面,如下(序号按照流程编号标明): 6 服务交付过程 是与客户交互的主要界面,也是后台服务的依据。 6.1 服务等级管理 服务等级管理的目标是通过协调IT 用户和提供者双方的观点,实现特 定的、一致的、可测量的服务水平,以为客户节省成本、提高用户生产率。 6.2 服务报告 强调与客户的沟通和服务结果与客户要求的符合性之间的一致性。 6.3 能力管理(也有叫容量管理) 使组织在危机出现时管理资源并提前预测需要的额外的能力。它描述了 计划、实施和运行该过程必需的规程。 6.4 服务持续性与可用性管理 连续性管理在尽量少的中断客户业务情况下,提供IT服务,并在IT 系 统出现问题时,以可控的方式恢复 可用性管理的目标是优化IT 基础设施的性能,它的服务和支持的组织。 可用性管理导致成本节省的、持续的服务可用性水平,这种服务可用性确 保业务满足其目标。 6.5 信息安全管理 信息安全管理在所有服务活动中有效地管理信息安全。
ISO20000介绍
ISO20000介绍 ISO20000是第一部针对信息技术服务管理(IT Service Management)领域的国际标准,它于2005年12月15日发布。作为认证组织的IT运营和服务管理水平的国际标准,ISO20000具体规定了IT服务管理行业向企业及其客户有效地提供服务的、一体化的管理过程以及过程建立的相关要求,帮助识别和管理IT服务的关键过程,保证提供有效的IT服务以满足客户和业务的需求。它着重于通过“IT服务标准化”来管理IT问题,即将IT问题归类,识别问题的内在联系,然后依据服务级别协议进行计划、管理和监控,并强调与客户的沟通。 ISO/IEC20000是一个关于IT服务管理体系的要求的国际标准,它帮助识别和管理IT服务的关键过程,保证提供有效的IT服务满足客户和业务的需求。 ISO20000,共分为两部分 : ISO/IEC 20000-1 Information technology-Service management Part-1:Specification(信息技术服务管理标准规范,认证要求) ISO/IEC 20000-1 Information technology-Service management Part-2:Code of practice(信息技术服务管理最佳实践) 在ISO20000中的信息安全管理部份,以ISO27002/ISO27001为参考规范。在企业组织ISO20000的实施范围不大于ISO27001/ISO27002 实施的范围的情况下,若该组织/企业已通过ISO27001认证,则该企业组织的ISO20000中信息安全管理部份也将符合标准。 ISO20000标准包括了5大过程及13个管理面,如下: 服务交付过程 服务等级管理 服务报告 能力管理 服务持续性与可用性管理 信息安全管理
ISO20000体系文件清单管理细则-V1.0
文件密级:内部使用 信息技术服务管理体系 文件清单管理细则 文件编号:SA-03004 [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属公司所有,受到有关产权及版权法保护。任何个人、机构未经公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 读者文档权限说明公司内部员工只读 2.文件版本信息 版本号修订变更描述日期审核批准 V1.0 编写组全文20100726 芮芳华刘文中 3.文件版本信息说明 文件版本信息,记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。文件版本小于1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
目录 1概述 (1) 1.1目的 ----------------------------------------------------------------------------------------- 1 1.2范围 ----------------------------------------------------------------------------------------- 1 2职责与权限 (1) 2.1 实施运维部负责人---------------------------------------------- 错误!未定义书签。 2.2办公室 ------------------------------------------------------------- 错误!未定义书签。3体系文件清单 (1) 3.1I T体系运行类(SA) ----------------------------------------- 错误!未定义书签。 3.2I T组织人员类(SO) ----------------------------------------- 错误!未定义书签。 3.3I T运维管理类(SM)----------------------------------------- 错误!未定义书签。 3.4I T交付管理类(SD) ----------------------------------------- 错误!未定义书签。 4 (2)